首先，检查一下程序基本信息：

程序很简单，保护开的也差不多。但是需要注意，这道题单独给出了libc，而且根据题目提示，程序中没有现成的system函数。这就需要我们从libc中动态加载system函数。
初步思路：PIE没有开启，那么在libc中函数的offset就是固定的，只要确认了libc的base address，然后计算出system函数的offset，就可以定位到system函数的真实地址，实现调用。

strings查看一下是否有明显的字符串信息：

从字符串信息来看，没有明显的可以利用的字符串，函数也只有write和read，在某些情况下这两个函数可以构造溢出，先留心一下。

main函数：

没有明显的问题，直接进入vulnerable_function()

vulnerable_function函数：

有一个缓冲区buf，在read函数中进行了调用。可以进行溢出。

libc中的函数的相对地址是固定的，要想获取到system函数的地址，可以通过write()函数进行offset计算。

在vulnerable_function()中，先调用了write()函数，然后调用read()函数。write()函数返回到vulnerable_function()后，再进行read()函数调用，这样我们就可以进行二次攻击。

两次攻击stack中的情况：

这样的话，第一次使用的payload构成如下：

payload = 'A'*0x88 + p32(0xdeadbeef) + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(0xdeadbeef)

利用第一次攻击，就可以获取到libc的基地址。然后进行第二次攻击，使用的payload构成为：

payload0 = 'A'*0x88 + p32(0xdeadbeef) + p32(sys_addr) + p32(0xdeadbeef) + p32(bin_sh_addr)

中间涉及到几个地址的计算，各地址的计算方式如下：

这样的两次攻击下来，就可以使用libc中的system函数进行"/bin/sh"的调用，从而getshell。

执行完成后，可以成功拿到flag：

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)